如何修复“此工作站与主域之间的信任关系失败”错误

教學

“此工作站與主要域之間的信任關係失敗”錯誤意味著計算機無法訪問網絡,因為它處於離線狀態,或者它已經失去了對Active Directory(AD)域的成員資格。本指南將幫助您了解此錯誤發生時背後的情況,並通過不同方法來解決這個問題。

正如您將看到的,有相當多的可能解決方案來修復“此工作站與主要域之間的信任關係失敗”問題。特別是有一種方法比傳統的更快—— ‘退出域,重新啟動,重新加入域,重新啟動……’。讓我們開始吧!

廣告

理解“此工作站與主要域之間的信任關係失敗”錯誤

“此工作站與主要域之間的信任關係失敗”錯誤訊息絕對是IT專業人士在使用與Active Directory相關的設備時遇到的最令人惱火的錯誤之一。它似乎突然冒出來,只是為了在您日常任務中設立障礙。

您如何遇到此錯誤?

當您將工作站加入到 Active Directory 域時,將在 AD 中創建一個計算機帳戶。就像用戶帳戶一樣,此計算機帳戶具有一個密碼,該密碼在30天後會更新。

注意 – 您可以選擇修改註冊表以更改“最大機器帳戶密碼年齡”屬性。如果您希望這樣做,請打開 Regedit.exe 並修改以下密鑰:

hklm-SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge

每次計算機“登錄”到 Active Directory(在重新啟動期間,在用戶登錄之前),都會與最近的域控制器(DC)驗證其計算機帳戶密碼:

廣告

  • 如果它們同步,計算機將成功對 AD 進行驗證,然後繼續執行。
  • 如果設備沒有與 AD 的網絡連接,則可以容許最多30天的寬限期。

在您遇到「此工作站與主要網域之間的信任關係失敗」錯誤的情況下,是當網域用戶嘗試登錄到工作站(以及網域)時。如果用戶之前已經登錄並且他們的AD密碼在設備上被緩存,他們將能夠從那個寬限期登錄。但是,如果以前沒有登錄過該設備的用戶嘗試登錄,並且設備與AD之間的信任不可用,您將得到這個確切的錯誤。

為什麼會出現這個錯誤?

這個「此工作站與主要網域之間的信任關係失敗」錯誤發生在計算機在網域中不再被信任時。工作站與Active Directory之間的安全通道丟失。本地計算機的密碼與您的Active Directory中計算機的密碼不一致。

有幾個常見的情況可能會導致這個錯誤,這裡有一些例子:

  • 如果您重新安裝Windows
  • 如果您重置Windows。
  • 如果您還原了虛擬機器的狀態。
  • 如果您更換了設備中的更重要的硬件組件等。
  • 如果您在克隆設備之前沒有使用Sysprep

還有一些其他潛在原因可能導致此錯誤。網絡連接問題、AD或DNS基礎設施的問題,甚至是設備的網絡電纜問題!重點是要慢慢來,不要做出任何假設,並使用此指南來跟隨這個故障排除流程圖的每一個步驟來解決您的問題。

廣告

如何修復“此工作站與主域之間的信任關係失敗”錯誤

有一些方法可以用來修復”此工作站與主要域之間的信任關係失敗”錯誤。 這裡需要做的是解決設備與Active Directory之間的信任關係。 讓我們首先看一些您可能因時間限制而偶爾忽略的基本要領。

使用Test-ComputerSecureChannel命令檢查信任關係

看這個! 這是一個方便的PowerShell寶石,可幫助修復設備與Active Directory之間信任關係的狀態。 我在我的Windows Server 2022 Active Directory Hyper-V實驗室環境中有一個Windows 11虛擬機。 讓我們使用Test-ComputerSecureChannel cmdlet來驗證我們與AD的連接。

Test-ComputerSecureChannel -verbose
Using Test-ComputerSecureChannel to verify the trust is valid

這裡,輸出中的’True’表示一切正常。 ?

檢查DHCP設置

您需要在命令提示字元下執行ipconfig,以確保您的工作站的IP地址在相同的子網中,與您的域控制器(DC)相同,或者可以路由到這些子網。您也可以嘗試通過名稱或完整域名(FQDN)對您的某個DC進行ping測試。

如果這沒有作用,或者解析失敗,這意味著存在更基本的網絡連接問題。您應該在繼續之前,首先在這個領域進行必要的故障排除。

您也可以執行ipconfig /releaseipconfig /renew命令來釋放您分配的DHCP IP地址,然後更新它或獲取一個新的IP地址。有時,這些步驟可以解決一些比較棘手的網絡連接問題。請試試看。

重設機器帳戶密碼

讓我們直接進入更有效率且節省時間的方法來解決問題。這裡的目標是重設計算機帳戶密碼。我將向您展示如何在Windows中使用GUI來進行退出、重新加入、重啟等操作的步驟。

但是要不要避免所有這些重新啟動會更好呢?嗯,是的,我確定這會更好。特別是如果您正在使用較慢的電腦。

使用netdom resetpwd命令行工具

我們將使用的第一個命令行工具被稱為netdom。您可以通過安裝遠程伺服器管理工具 (RSAT) 在工作站上安裝它,具體來說,選擇 ‘ Active Directory 域服務和輕量目錄服務工具 ‘。您可以通過閱讀我關於安裝RSAT工具的上一篇帖子來了解安裝RSAT工具的基礎知識。

打開管理命令提示字元,然後使用以下的netdom resetpwd命令:

netdom resetpwd /Server:WS16-DC1 /UserD:administrator /passwordD:<em>password</em>
Using netdom to reset the computer account password in AD

成功!本機機器帳戶的密碼已成功重設,您甚至不需要重新啟動。您只需登出,然後使用域使用者帳戶重新登錄,您應該能夠成功。

使用Reset-ComputerMachinePassword cmdlet

您的 PowerShell 工具包中的另一個工具是Reset-ComputerMachinePassword指令。與 netdom 類似,此指令將更改/更新與 Active Directory 相關的計算機帳戶密碼。

請打開 PowerShell 控制台。基本指令結構如下:

Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin

在我們的案例中,我將運行這個指令:

Reset-ComputerMachinePassword -Server WS16-DC1 -Credential Administrator
Here we use Reset-ComputerMachinePassword to accomplish our goal
And yes, no news here is good news!

沒有消息是好消息。?

使用 Active Directory 用戶和電腦工具

您可以使用Active Directory 用戶和計算機(ADUC)採取非常直接的步驟,執行與上述兩個命令行方法相同的功能。只需在目錄中找到計算機工作站,右鍵點擊計算機對象,然後點擊“重置帳戶”。

Using Active Directory Users and Computers to accomplish the same goal

這樣一來,計算機帳戶就已經被重置了。

将您的計算機重新加入 Active Directory 域

好的,我將保存傳統的、有些“不牢固”的方法來修復“此工作站與主域之間的信任關係失敗”錯誤的方法 – 我建議使用命令行工具,因為它們更有效率、更快速,並且更可靠地完成任務。您不需要擔心本地配置文件的潛在問題、工作站端的網絡連接問題,以及一般Windows中的其他問題。

無論如何,為了完整起見,讓我們展示另一種重新將您的機器加入Active Directory域的方法。

使用Remove-Computer和Add-Computer Cmdlets

看起來我之所以不使用較舊的GUI方法有原因。? 在最後一刻跳出來,給我們戰術優勢。我們可以再次使用PowerShell來完成我們的目標。我們可以使用Remove-ComputerAdd-Computer cmdlets。

注意 – 確保您知道您正在使用的設備的本地管理員帳戶的憑據。在工作站解除聯繫並重新啟動後,您將需要這些信息進行登錄。

這是您需要使用的Remove-Computer cmdlet來將計算機從域中移除並重新啟動的方法。

Remove-Computer -UnJoinDomaincredential reinders.local\mreinders -PassThru -Verbose -Restart

好的。僅過幾秒鐘,重新啟動就完成了。現在,在我使用本地管理員賬戶登錄後,我可以使用“Add-Computer” cmdlet 重新加入域。

Add-Computer -DomainName reinders.local -Passthru -Verbose -Restart
We can Add-Computer to get our machine joined again to our AD Domain

另一個非常迅速的操作和一次重新啟動!我們恢復正常。

After the reboot, we see that our machine is correctly in the domain

使用GUI和一個域管理員帳戶

好吧,我想我可以向您展示傳統但有效的解決此錯誤的方法。我們將通過在工作站上使用Windows GUI的步驟,使設備從Active Directory域中退出並加入工作組模式,重新啟動,然後將設備重新加入AD,再次重新啟動,那麼任務就完成了。

首先,點擊開始 -> 設置 -> 帳戶 -> 存取工作或學校。點擊顯示AD DNS域名的右側的下拉箭頭,然後點擊斷開。點擊

Using Windows Settings in Windows 11 to remove our computer from the domain

點擊以下彈出窗口中的斷開按鈕。

What you see when you choose to remove a computer from an AD domain

在這裡,確認您將能夠在工作站從域中移除後使用的本地帳戶的憑據。

Putting in credentials to confirm we can login after the disconnection from the domain

此步驟很重要 – 如果您沒有本地帳戶和密碼,您將需要重新安裝Windows或重新映像您的設備。

Click Restart now or Restart later to complete the process

完成後,點擊重新啟動 來重新啟動您的機器。

此時,我使用我的本地“Michael”帳戶登錄。 然後我前往同一位置:開始 -> 設置 -> 帳戶 -> 存取工作或學校

在這裡,點擊‘連接 ’按鈕旁邊的‘添加工作或學校帳戶’。

We go to the same location to get back on the domain in Accounts > Access work or school

選擇底部的最後一個鏈接:將此設備加入本地Active Directory域

Click Join this device to a local Active Directory domain

輸入您的Active Directory域的完全限定域名(FQDN),然後點擊下一步

Entering in our FQDN DNS AD domain name

假設它能夠正確連接您的域(如果不能,您可以閱讀我的文章以協助您進行故障排除),系統將提示您使用Domain Admins或同等權限的域帳戶。

Entering in our DA credentials to join the computer

在這裡,我正在採取一個不太常見的步驟,將我的’mreinders’ AD帳戶添加到本地管理員組。這是為了我的實驗室目的,並且不是安全最佳實踐。

點擊立即重新啟動,使用您的用戶帳戶登錄到域中,我們就完成了!

結論

I hope this post helps you in troubleshooting the root cause of the dreaded “trust relationship between this workstation and the primary domain failed” error message. Like I said, this seems to just crop up at the worst possible time. But, that’s IT. There are many ways to resolve issues in Windows and general Systems Engineering. Thankfully, you have a respectable number here to get your job back on track!

Source:
https://petri.com/trust-relationship-between-this-workstation-and-the-primary-domain-failed-error/